|
|
|
|||||||
| Yeni Başlayanlar Yeni başlayanlar sorularını,sorunlarınız. |
 | ||
 |
|
|
Seçenekler | Stil |
  Bilişim Suçlarında Kullanılan Metotlar/! | ||||||||||
|
(#1)
|
|||||||||
|
Üye
 
Mesaj Sayısı: 923
Açtığı Konu: 551
Level: 27 [  ]Paylaşım: 130 / 651
Üyelik tarihi: Nov 2007
Kullanıcı No: 191658
Nerden: STARHACk.ORG'dan
Tecrübe Puanı: 38
REP Puanı : 364
REP Seviyesi :
 |
Bilişim Suçlarında Kullanılan Metotlar/! -
05-23-2008
İnternette Bilişim Suçlarında Kullanılan Metotlar 1. Sistem Kırıcılık (Hacking) Tabi ki popüler olanları içinde ticari sırları çalmada sistem kırıcılık (hacking) üç metottan birisidir. E- posta sistem kırıcılığın (hacking) en önde olmasının iki nedeni vardır: 1)Sistem kırıcı (hacking) araçlarının büyük şekilde yararlanılabilir alanda olması. Şu anda 100.000 internet sitesi düzenlenebilir ücretsiz indirilebilen sistem kırıcı (hack) araçları ile doludur. 2) Sistem kırıcılık (hacking) göreceli olarak çok kolay işlemektedir. Derin bilgiye gerek olmadan, basitçe protokol veya internet protokol (Ip) adres bilgisi olmadan bir klik ve tuş ile kullanabilme kolaylığı vardır. Sistem kırıcılık (hacking) üç kategoride yapıyı kırıp içeri girer: Sistem, uzak erişim ve fiziksel erişim. 2. Sosyal Mühendislik Temel amacı; sistemlere izinsiz girmek yada dolandırma yolu ile bağlantı kurmak, iizinsiz ağa (network) girmek, endistüriyel casusluk, kimlik hırsızlığı, sistem yada ağın (network) bozulmasına yol açmaktır. Sosyal mühendislik iki ana kategoride tarif edilebilir; hem insan kaynaklı, hem de bilgisayar kaynaklı saldırı metodudur (Wendy thurs:2001). Sosyal mühendislik kişileri kandırarak değerli bilgi ve parolalarını ellerinden almayı maçlamaktadır. Bu amaçla örneğin e- posta (e-mail) atarak şifre elde etmeye çalışırlar, “shoulder surfing” sörf metodu ile basitçe şisel bilgileri toplanan kişiye uygun parola tahminleri yapılır. Bu noktada sosyal mühendislerin çalışma etodolojisini anlayabilmek için bir örnek çalışmaya bakmak gerekir: Klasik bir saldırı metodolojisi: görev - bilgi erişimi: Eldeki bilgilerle bir şey yapın diye söylense, elbette temel olarak dijital yada yazılı materyalin kopya tarihi değerli olacaktır. Rakipler açısından şirket adına ne kadar çok bilgi toplanabilirse o kadar çok şirketin durumuna yönelik şirket hedefleri, planları, hareketleri, stratejileri hakkında değerlendirme yapılabilir. Rakip ile ilgili alınabilecek birkaç bilgi aşağıda belirtilmiştir. Pazar ve yeni ürün planları Kaynak kodları Şirket stratejileri Üretim, teknolojik çalışmalar Olağan ticaret metotları Ürün tasarımı, araştırma ve maliyetler Anlaşmalar ve akit tedbirleri; teslim, fiyatlandırma, bilimsel terimler. Şirket internet sitesi Müşteri ve destekleyici bilgileri Birleşme ve elde etme planları Mali bütçeler, gelirler, vergiler. Pazar, reklam giderleri. Kaynakların fiyatları, stratejiler, listeler. Sorumlular, operasyonlar, organizasyon şeması, isim/aylık cetvelleri. Ayrıca tescilli bir şirket çalışması için sıcak hedefe yönelik, personel kayıtları olabilir. Aşağıdaki bilgilerden herhangi biri de değerli olabilir. Ev adresleri Ev telefon numarası Karı koca ve çocuk adları Sosyal Güvenlik numarası Hasta kayıtları Kredi kartı kayıtları Performans değerlendirmeleri Tüm bu veriler toplanarak elde bulunan veya internetten kolaylıkla bulunabilecek yardımcı program veya metotlar ile hedefe kolaylıkla varılabilecektir. a. Sosyal Mühendislere Karşı Savunmayı Arttırma Davetsiz misafirler yada sistem kırıcılar (hackers) sürekli olarak değişik taktikleri de kullanarak bilgisayar sistemlerine yönelik yasal olmayan şekilde erişmeye çalışırlar. Kurumlar da bu tehlikeye karşı ağlarını (network) korumak için daha fazla zaman ve para harcarlar. Daha çok, yapılan harcamalar teknolojik güvenlik önlemleridir; sistem yükseltmeleri,güvenlik sistem paketleri, en son teknoloji kripto sistemleri gibi. Fakat yeni bir yol olan sosyal mühendislik bu önlemleri önemsemeden yasal olmayan uygulamalarına devam etmektedir.Bu tip saldırılara karşı kurumların savunmaları için iyi politikalara sahip olmaları gerekmektedir. Tabi ki bu durumda en iyi savunma eğitimdir. Günümüzün güvenlik uzmanları sürekli bir değişmez mücadele içerisinde, son teknolojik değişimlere ayak uyduran ama bunun her zaman sistem kırıcıların (hacker) ve script şakacılarının (script kiddes) bir adım önünde yapan kişilerdir. Yayınlanan güvenlik bültenlerinde güvenlik açıkları, yeni zayıf noktalara yönelik bilgilendirmeleri, yeni yamaları, onarımları, yeni güvenlik ürünlerini, güvenlik uzmanları takip etse de yeni standart, ürünlerin standartdını sağlama açısından takip etme çok fazla zaman ve imkan gerektirmektedir. Sosyal mühendisler, güvenlik zincirinin en zayıf yerindeki, karmaşık güvenlik araçlarının bir yere toplanarak kullanımı ile çalışan insan aracına farklı yollardan giderler. Dünyada hiçbir bilgisayar sistemi yoktur ki; insanı merkeze almasın. Bunun anlamı güvenlik zayıflıkları programların, platformun, ağın (network) yada donanımların bağımsızlığı ile ilgili olmayan evrensel bir şeydir. Bütün bilgisayar güvenlik sistemleri fonksiyonlarında insanî aracılık sistemleri gerektirir. İnsan aracı üzerine odaklanan bir sistem içinde hiçbir bilgisayar güvenlik sisteminin sosyal mühendisliğe karşı bağışıklığı temin edilemez. Sosyal mühendislerin hangi sömürü metotlarını kullandıkları, nasıl çeşitli şekilde kişilik özelliklerini değiştirerek başarılı bir sosyal mühendislik yaptıkları aşağıda belirtilecektir. Nitekim bu metotlar kullanılarak kişisel özellikleri de artırmak mümkündür, böylelikle daha başka yeni metotlarda geliştirilebilecektir. Sorumluluğun yayılımı : Eğer hedefe onların kendi hareketlerinden sadece sorumlu olmadıklarına inandırılırsa, sosyal mühendisin ricasına uygun hareket ederler. Sosyal mühendisler çeşitli faktörlerin de yardımı ile oluşturdukları durumda, kişisel sorumluluk konusunu şaşırtma ile o kadar sulandırırlar ki bir karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer çalışanların isimlerini kullanırlar, ya da yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzı ile, iddia ederler. Göze girme şansı: Hedef eğer bir rica ile razı olan birisi ise, başarılı olma şansı yüksektir. Bir rakip olarak onu yönlendirmede bu çok büyük bir avantaj sağlar, ya da bilinmeyene göre yardım verir, sıcak bayan sesini kullanarak telefon aracılığı ile iletişime girerler. Sistem kırıcıları (hackers) topluluğuna teknoloji ile içli dışlı insanlar olarak toplumsal ilişkilerde çoğu zaman beceriksiz insanlar topluluğu olarak bakılır. Nitekim bu kanı da doğrudur. Sosyal mühendisler etkilemenin yüksek hiçbir formunu kullanmadan bilgi elde ederler. İlişkilere Güvenmek: Çoğu zaman, sosyal mühendisler belirledikleri kurban ile iyi güvenilir bir ilişki için beklerler ve o zaman bu güveni sömürürler. Bunu takip eden zamanlarda ufak küçük etkileşimlerle ilişkiye girer ve doğal seyir içinde problem ortaya çıkar ve sosyal mühendis büyük hamlesini yapar. Böylece karşı taraftan şans verilmiş olur. Ahlâkî görev: Hedefi dışarıdan ahlaksal olarak davranmaya cesaretlendirmek ya da başarı şansı için ahlaki hareket arttırmayı sağlamak. Bu durum için hedef olan kişi ya da organizasyondan bilgilerin sömürülerek alınmasını gerektiren bir iştir. Hedef eğer karşıdakine uymanın yanlış olduğuna inanırsa karşıdakini sorgulamanın hoş olmadığını hissederse, başarı şansı artmış demektir. Suçluluk: Eğer mümkünse çoğu insan suçluluk hissinde olmaktan sakınır. Sosyal mühendisler çoğu zaman, psikodrama üstatlarıdır. Öyle bir mizansen hazırlarlar ki insanın yüreği cız eder, empati ve duygudaşlık meydana getirirler. Eğer suçluluk duygusunu ortadan kaldıracak bir bağışta bulunurlarsa hedef bundan çok fazla memnun olacaktır. Rica edilen bilginin yerine getirilmeyeceğine inanarak, belirleyici problemlerin rica eden kişi tarafından sık sık yeterli ağırlıkta tartılıp denge içinde iyilik olsun diye yapılmasını sağlarlar. Künye: Sosyal mühendisin hüneri ile daha çok hedef tanımlanır ve bilgiye erişilir. Sosyal mühendisler iletişim anında daha çok zekice bir araya getirilmiş öncelikli, temelli girişimlerle bağlantı kurmaya çalışırlar. Faydalı olmaya istekli olmak: Sosyal mühendisler diğer insanlara yardım etmeden zevk alanlara güvenerek eylemlerini yürütürler. Kahramanımız karşı kişiden ya bir giriş hakkı ister ya da bir hesaba giriş için yardım etmesini ister. Sosyal mühendisler ayrıca birçok bireyin zayıf reddetme düzeyini bilerek ve işin uzmanına danışmanın dayanılmaz cazibesine sırtlarını dayayarak işlerini yaparlar. Birbirine göre ayarlama: Hedef ile en az çatışma en iyisidir. Sosyal mühendisler genellikle ortamın gerektirdiği ses tonu ile zekice ve sabırlı sunuş yaparlar. Emir gibi, bir şey sipariş eder gibi, sinirli ve baş belası gibi kazanmak adına nadiren çalışırlar. Sosyal mühendis kahramanları genellikle direkt rica edenler, uydurma durum, kişisel ikna gibi kategorileri kullanırlar. Direkt rica edenler: muhtemelen en basit metottur, ve başarı için en son olan yoldur. Bir işe basitçe girişildiğinde sorulan bilgidir. Direkt rica genellikle meydan okumadır ve genellikle ret edilir. Başarı şansı düşük olduğundan nadiren tercih edilir. Uydurma durum: bir şey veya bir organizasyonun özelliğine göre elde edilen bilgilerle yapılan üretilen bir durum, bir kriz veya özel bir an ile ilgili olarak bu durumdan faydalanmadır. Kriz durumları anlık yardım içerir, sosyal mühendisler hedefin güvenini arttırıcı durumun gerekliliği ve yardım edilme ile ilgili ortam oluştururlar. Sosyal mühendislerin taktikleri gerçek üzerine kurulu olsa da şunu unutmamak gerekir ki; kahramanlar gerçek tabanlı şeylere ihtiyaç duymaz, sadece ortalama gerekli şeylerle çalışırlar. Ki ş isel İ kna , Kişisel olarak yardım yapmayı isteyen bununla ilgili istekli insan gibi davranırlar. Amaçları kuvvetli uyum değildir, gönüllü-uyumlu insan anlayışına ulaşmaya çalışmaktır. Birçok bilişim teknolojisi (IT) güvenliğinde çalışan insan gerekli bilgilerden yoksun bulunmaktadır. Bu işle uğraşanlara yönelik bilgi güvenliği farkındalığı programı uygulanmalıdır. Son kullanıcı kılavuzu, güvenlik öngörüleri ve güvenlik bilgileri olmalıdır. Çalışanların, sosyal mühendis riski ile ilgili eğitimi bu saldırılara karşı kurumların savunma aracıdır. Sosyal mühendisler psikoloji üzerine kurulu ve sosyal hainliklere dayalı yeni hileler ile bizimle paylaşımda bulunurlar (George Stevens:2001). Bu çok özel saldırı metodunun farkındalığında özel süreçlerde eğitim ve çalışma gerektirir. 3. Dumpster Diving (Çöpleri Boşaltma) Çöpleri karıştırma çok pis bir iştir, fakat ticari ve değerli bilgileri elde etme açısından çok önemli ve başarılı bir tekniktir. Çöpleri karıştırma kulağa iğrenç gelse de, kanunî bir iştir. Çöp umuma açık yer üzerinde sokaklarda, geçitlerde bulunuyorsa, kolaylıkla erişilebilecek yer olarak göz önüne alınır.”Amerikan mahkemeleri; ticari şirketlerce erişilebilecek alanlardaki çöpler, özel mülkiyetten çıkar. Bunlar sadece “izinsiz girilmez” levhası olan yerlerde bulunuyorsa ve siz eğer izinsiz boşaltım işlemi için girmişseniz suç işlemiş olursunuz” şeklinde hüküm vermektedir. Paylaşılan çöpler ile ilgili potansiyel güvenlik zayıflıkları olarak; şirket telefon rehberleri, organizasyon şekilleri, kısa notlar, şirketin siyaset tarzı, toplantı zamanları, sosyal olay ve tatiller, elle yapılan sistemler, bağlantı isim ve parolalarını içeren hassas yazıcı çıktıları, diskler ve kayıt üniteleri, şirket mektup başlıkları ve kısa not formları, zamanı geçmiş donanımlar belirlenmiştir. Çöpler, zengin bir bilgi kaynağı olarak ortak casusluk iîmkanını sunmaktadır. Yukarıda sayılan her bir araç uzman birinin elinde birçok işe yarayabilir. Konunun önemine uygun olarak, Amerika’ da, çöpleri boşaltma ile ilgili kanun maddeleri hazırlanmıştır “an act concerning dumpester diving”. Kanun tasarısına konan bu ilke bilgisayar sistem kırma (hack) ve kanunsuz dinleme vb. ile aynı sayılarak, ticari gizliliği koruma kanunu adı altında başlıklandırılmıştır. Çöp boşaltma kurbanı olan şirketin kendine karşı bu bilgilerin kullanılması durumunda yüksek mahkeme yolu ile bunu bozma gibi bir hakkı vardır. Bu şirketler ayrıca cezayı gerektiren tazminat hakkı için dava açma hakkı elde ederler. 4. Kuvvetli Darbe (Whacking) Temel olarak kuvvetli darbe kablosuz sistem kırma (hacking) dır. Kablosuz ağı (network) gizli dinleyen sistemlerin hepsi doğru bir radyo kanalını bulmayı ve kablosuz iletimin içinde bulunabilmeyi gerektirir. Gerekli donanım ile ofis binalarının dışından sinyallerin toplanabilmesi mümkündür. Bir defa yüklenen bir kablosuz şebeke sistemi ile davetsiz misafir genelde şifrelenmemiş (kriptolanmamış) olarak ağdan (network) gönderilen bilgiyi toplar. 5. Kolay Telefon Dü ş mesi Ortak bilgide (corporate espionage) telefon düşmesi başka bir yol olarak kullanılmaktadır. Dijital kayıt yapan alet ile faks cihazını iletim ve kabulünü izleyen bir sistemi oluşturmak, faks cihazına bir bilgi gelmeden önce kimsenin bilgisi olmadan bir kopyasının alınması, telefon ile görüşmede bir kişinin sesleri toplanarak, banka hesabına erişmek mümkündür. Sonuç Çağımızda bilginin kullanımı artık yetmemekte kullanılan bilginin korunması ve sağlıklı şekilde iletilmesi ön plana çıkmaktadır. Ülkemizin de bilgi politikasının değişen şartlara uygun hâle getirilmesi artık temel bir mecburiyet hâline gelmiştir. Bilginin gelinen noktada önemi ortadadır. Bilgiye sahip olan, ister devlet isterse özel sektör olsun, artık ekonomik değer ifade eden bu metadan dolayı hedef hâline gelmiştir. Çalışmada ortaya konan tehlikeler elbetteki aysbergin görünen kısmıdır. [GÜVEN ŞEKER Komiser İzmir İl Emniyet Müdürlüğü ] |
|||||||||
|
||||||||||
 | ||||||||||
|
|
|
| Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir) | |
| Seçenekler | |
| Stil | |
|
|
Normal
